您的位置 : 环球研究 / 环球评论 / 新闻详情
企业员工个人信息保护一般合规思路
2022年12月12日孟洁 | 王程

引言

 

明者因时而变,知者随事而制—随着《中华人民共和国个人信息保护法》(以下简称“《个保法》”)已经实施一周年,企业在注重保护用户/客户个人信息的同时,对关切并保障员工个人信息权益的力度也稳中有升。然而,新冠疫情的常态化为企业管理员工带来了新的挑战。例如,当部分城市疫情防控加严的情况下,如何平衡企业对居家办公人员的监督管理与对员工个人信息与权益的保障,成为了企业不可避免需要思考的问题。

 

举例而言,有报道称国内某教育机构要求居家办公的员工安装具有监控功能的电脑软件,该软件每五分钟将自动截屏并抓拍员工的人脸信息,而抓拍不足89次的员工将被视为旷工,进而影响员工绩效。又比如国内某食品企业为了保障疫情期间食品安全,要求公司全体员工(包括非产线员工)在疫情期间只能从家到单位“两点一线”活动;为了监督,该企业拟在所有员工的手机上安装具有监控功能的App,通过实时定位以监测员工24小时的行踪轨迹—一旦企业发现员工的行踪轨迹不符合“两点一线”要求,将对其发出系统预警并采取违纪通报处理。除此之外,还有企业要求员工每日将其所在位置信息发到全体员工群中以确保所在位置非疫情风险点位。

 

上述这些企业采取的管理措施也许可以在疫情下对员工实现有效的监督和管控,但是,企业处理员工的人脸信息、行踪轨迹信息来对员工实施管理是否符合《个保法》下个人信息处理活动的合法、正当、必要原则?是否与企业的处理员工个人信息目的直接相关?退一步讲,即使针对员工个人信息的处理活动与企业处理员工个人信息的目的直接相关,企业采取的手段又是否尊重和保障了员工个人信息权益、贯彻落实了二十大精神呢?企业如何深入了解并能做到合规处理员工个人信息,以确保各类管理手段符合法律及合规要求,在长期抗疫的大背景下,都是亟待企业权衡和解决的问题。

 

在《个保法》发布前,有关员工个人信息保护或处理的要求多散落于《中华人民共和国劳动合同法》《中华人民共和国劳动合同法实施条例》等法律、行政法规中,鲜见有直截了当的明文要求,难以引起企业对内部员工个人信息权益保障的重视。因此,实践中大多企业进行数据治理及隐私保护工作的重心主要还是放在产品和业务发展上,提高产品的合规性,减少争讼的发生。《个保法》的出台则对个人信息全生命周期的处理活动进行了规制,明确了包括员工在内的个人信息主体权利及个人信息处理者义务,将《民法典》中自然人的权益保护落到了实处。

 

首先,《个保法》在《民法典》的基础上提出“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,将生物识别、特定身份、医疗健康和金融账户等特殊性质的个人信息明确纳入敏感个人信息的范畴,要求实施更加严格的监管要求。在员工个人信息保护的场景下,除如姓名、年龄、性别等显而易见的个人信息以外,公司普遍还会收集员工的政治面貌、工作履历、籍贯等,这些也都属于员工的个人信息。而身份证号、犯罪记录、银行卡号、体检报告等更属于员工的敏感个人信息。

 

其次,在处理个人信息的合法性事由中,《个保法》在“订立、履行个人作为一方当事人的合同所必需”这一款新增了符合人力资源管理所必须的情形,进一步将保护员工个人信息的要求明确推到了“台前”,以使企业得以重视。这为企业处理员工个人信息提供了一条除个人“同意”以外,个人信息处理者可以优先考虑适用的合法性基础,但也为企业解释并落地“实施人力资源管理所必需”的适用范围提出了难题。

 

企业应当如何合规地处理员工个人信息逐渐成为企业内部合规体系搭建的必修课。下文我们将从员工个人信息全生命周期入手,以求在介绍员工个人信息处理活动的合法边界的同时,对企业在不同场景下的重点合规义务进行相关提示:

 

一、常见员工个人信息处理场景及合规提示

 

(一)企业如何收集员工个人信息

 

企业收集员工个人信息的常见场景通常可以分为以下八种类型:

  • 基于公司履行法定义务的需要:如因订立劳动合同、支付工资、缴纳社保公积金、代扣代缴税款等事宜而收集员工个人信息(除基本的个人信息以外,还会涉及如身份证号、银行账号、体检报告、社保卡、居住证等敏感个人信息)。

  • 基于公司实施安全与管理措施的需要:如通过门禁、监控系统收集员工个人信息(通常为员工姓名、工号、部门等基本个人信息,有些企业还会涉及收集如员工的指纹、面部特征等生物识别信息)。

  • 基于公司考勤管理的需要:如在核实缺勤、安排休假、审核外勤及差旅、病产假等场景中收集员工个人信息(通常为员工姓名、工号等个人信息,有些企业还会涉及如精准定位信息、医疗记录等敏感个人信息)。

  • 基于公司运营管理的需要:查阅、监督、复制、维修、回收员工使用的公司电子设备及软件系统过程中收集员工个人信息(如网页浏览记录)。

  • 基于公司业务经营的需要:对外宣传、业务合作、采购人力资源相关服务(例如与猎头公司合作,对候选人进行选聘等)时收集员工个人信息,或将员工个人信息提供给第三方。

  • 基于公司合规审计的需要:在背景调查(例如与背调公司合作,对入职高管和/或员工进行背景调查等)、反腐败、合规审计、诉讼仲裁等程序中收集员工个人信息。

  • 基于公司所在集团内部人力资源统一管理的需要:在关联公司范围内处理员工个人信息、实施集团关联公司间员工信息跨境传输等。

  • 基于提供员工福利的需要:如为员工提供商业保险、旅行机票及住宿优惠等员工福利而收集员工的个人信息,并提供给第三方服务供应商等。

不论在以上哪种场景中收集员工个人信息,企业均需要具备适当的合法性基础—取得员工的授权同意,抑或是满足法律规定的同意豁免情形。而根据《个保法》第十三条,个人信息处理者应先判断相关处理场景是否能够适用除同意以外的合法性基础,如果没有,则再判断是否获取了个人信息主体的同意。

 

1. 其他合法性依据——同意豁免情形

 

员工个人信息处理的同意豁免情形主要依据《个保法》第13条第二款,除了为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息这项以外,其他几项均有可能在不同的场景下被实用。但最常见的还是为订立、履行与员工订立的劳动合同所必需;为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;以及为履行法定义务所必需三项。

 

(1)为订立、履行与员工订立的劳动合同所必需

 

《劳动合同法》第8条提出,用人单位有权了解员工与劳动合同直接相关的基本情况。《劳动合同法》第17条进一步提到,劳动合同应当具备以下条款:……(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码;……。由此可见,一般而言,如员工的姓名、住址、身份证号码(或其他有效身份证件号码)、健康状况、知识技能、工作经历等与劳动合同直接相关的基本个人信息,是可以适用于为订立、履行与员工订立的劳动合同所必需这一合法性事由的,进而不需要在订立劳动合同时另行征得员工授权同意。

 

反之,根据实践经验,我们一般认为,婚姻状况、生育状况、是否为乙肝表面抗原携带者(除因涉及法律、行政法规和卫生部规定此类人群禁止从事的工作,法律行政法规另有规定的以外)等信息与劳动合同的签订和履行并无必然关联,进而不能适用此项同意豁免情形。

 

(2)为实施人力资源管理所必需

 

为实施人力资源管理所必需这一同意豁免情形涉及两个方面:依法制定的劳动规章制度以及依法签订的集体合同。劳动规章制度方面,根据《劳动法》第4条及《劳动合同法》第4、7条,用人单位应当依法履行民主程序与公示程序以建立和完善规章制度,保障劳动者享有劳动权利和履行劳动义务;同时,用人单位应当建立职工名册备查。《劳动合同法实施条例》第8条进一步提出,该职工名册应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。由此可见,在满足依法制定的劳动规章制度的前提下,为建立职工名册而收集的前述员工个人信息字段可以适用本项同意豁免情形。而在集体合同方面,如果企业想要适用这一场景,则应当注意确认拟依据的集体合同是否是根据《劳动合同法》第51条的规定履行职工讨论程序的、由工会代表职工与企业订立,以及是否报送了劳动行政部门。

 

不论企业拟依据的是劳动规章制度还是集体合同,除了劳动合同场景下收集的部分个人信息可以适用“为订立、履行与员工订立的劳动合同所必需”这一合法性事由以外,其他的个人信息(如薪酬信息、病假证明、紧急联系人信息)均应当同时确保员工的个人信息处理活动也是“为实施人力资源管理所必需”的。但是,由于何为“人力资源管理所必需”以及如何界定其内涵与外延尚未有明确、统一的标准,考虑到每个组织对于其个人信息处理活动的场景及组织性质的不同,故在落地上存在根据实际情况的裁量空间。从实践角度来看,企业可以首先考虑,在依法制定的劳动规章或在依法与员工签订的集体合同中对于员工个人信息处理活动的场景、所涉个人信息范围及目的进行明确规定或约定,明确列明处理哪些个人信息属于“人力资源管理所必需”,以在一定程度上减少争议、降低风险。

 

(3)为履行法定义务所必需

 

“法定义务”是指个人信息处理者依据法律法规的要求而负有的义务,例如,根据《劳动法》的要求,企业必须为员工依法缴纳社会保险、缴存公积金、提供符合国家规定的劳动安全卫生条件和必要的劳动防护用品,应当对从事有职业危害作业的员工定期进行健康检查、为发生工伤的员工申请认定劳动能力鉴定等。相应地,企业为履行该等法定义务所必需,需要收集员工相应的个人信息,如身份证号码、社保卡、健康生理信息等。

 

除此之外,在个人信息的存储期限方面,如果涉及到法定存储时长要求,那么在企业因履行这些“法定义务”而存储员工相关个人信息时,则无需取得个人的同意—例如《中华人民共和国劳动合同法》要求用人单位对已经解除或者终止劳动关系的员工的劳动合同文本,至少保存二年备查;又如《工资支付暂行条例》要求用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。

 

2. 员工授权同意

 

当员工个人信息的处理活动既不属于订立、履行劳动合同所必需(如与劳动合同的签订和履行并无必然关联),也不属于实施人力资源管理所必需(如未规定于劳动规则制度或集体合同中)时,在该情况下,企业收集员工信息应当征得员工的授权同意。甚至在特定情形下,应视个人信息的类型或处理活动的性质,企业在收集员工个人信息时需要获得员工的单独同意或重新同意。当然,实践中,在可操作的前提下,如果既能取得员工的授权同意,也能够取得员工对于“履行人力资源管理所必需”的确认,则属于处理个人信息合法性的“双保险”措施。

 

企业需要征得员工单独同意的场景主要有:企业向其他个人信息处理者提供员工个人信息、企业公开其处理的员工个人信息、企业处理员工敏感个人信息以及企业向境外提供员工个人信息的情形。例如,为了保护办公环境的安全和提升考勤等系统的便利性,有不少企业会通过人脸识别和指纹等开启门禁的方式完成工作环境下的身份管理。由于处理了人脸信息、指纹信息等个人生物识别信息(属于敏感个人信息),因此一般情况下是需要获取该员工的单独同意的,除非企业实施该行为是履行法定职责或法定义务所必需。再比如,疫情期间,企业要求居家办公人员以上传人脸信息的方式进行上班打卡,在符合个人信息处理原则,且基于企业性质或岗位特殊需求,该种打卡方式的确属于对个人信息权益影响最小且没有其他更合理的方式可以替代的前提下,一般来说企业处理该等生物识别类信息的活动也是需要获取员工单独同意的。

 

企业需要征得员工重新同意的场景主要与“变更”有关:如针对员工个人信息的处理目的、处理方式和处理个人信息的种类发生变更;企业提供员工个人信息的其他个人信息处理者发生了变化,或者接收方主体没变,但变更了原先处理个人信息的目的、处理方式等。举例而言,如果企业因业务结构、管理战略等种种因素导致员工个人信息的处理目的发生变化,那么则需取得员工的重新同意。

 

(二)企业如何使用、存储员工的个人信息

 

企业在使用员工个人信息时,应当首先确保与劳动合同、劳动规章制度、集团隐私政策、员工个人信息保护声明等文件所披露或规定的个人信息类型、处理目的、处理方式以及处理范围保持一致;同时应当确保在未取得员工重新同意时,企业不将其个人信息用作其他用途。此外,企业还需要注意某些使用应聘者个人信息的特定场景,以及疫情期间识别访客健康码的特殊情况。例如,在传统的招聘流程结束后,企业可能会将未被聘用的求职者简历或面试信息存储在自己的人才库中,在此场景中,企业是否有向应聘者告知这一情况、告知的内容是否符合法定要求、应聘者是否做出了有效的同意等等都是企业应当注意审查、确保合规的地方。再比如,在疫情防控工作常态化的背景下,企业可能会基于自身业务性质考虑增设其他的员工管理手段,那么企业在确保该种管理手段符合正当必要的个人信息处理原则、属于对个人信息权益影响最小的方式等基本前提下,还应当通过向员工提供个人信息保护声明、个人信息处理同意书等方式向员工进行充分披露并依法征得员工的授权同意或单独同意。

 

而在存储员工个人信息方面,企业可以从以下四个方面入手:(一)对员工个人信息进行分类,将不同性质的个人信息根据法律适用要求进行存储,并采取程度不同的安全保障措施:例如对指纹、声纹、面部识别特征等生物识别信息,做到与个人身份信息分开存储,且遵守原则上不存储原始个人生物识别信息(如样本、图像等)的要求;(二)确保员工个人信息的存储时长符合法定存储期限要求:一般来说,除法律法规另有规定[1],企业存储员工个人信息的期限应当为员工在企业受雇期间以及在劳动关系结束后所必需的最短时间,同时兼顾企业履行法定义务及解决劳动仲裁争议的特殊情况。对于超出期限的个人信息,企业应当及时做删除或匿名化处理—如在招聘环节结束后,如未征得应聘人员同意,应及时对未录用者的个人信息进行删除处理;(三)设置内部对于员工个人信息的访问权限,基于企业内部不同岗位的职责角色,从严把控对员工个人信息的访问权限,确保仅有为处理目的而必须获得员工个人信息的授权人员才可以访问使用员工的个人信息。同时,对于可能接触大规模员工个人信息的关键岗位人员,应通过签署单独的数据保护承诺书或专项保密协议等,对这些人员的访问处理行为进行管控与规范;(四)采取有效的安全管理措施并确保充分的应急处置能力。具体而言,企业应当采取技术手段和管理措施,防止员工个人信息被不当使用或在未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄露,同时应确保当发生员工个人信息泄露等安全事件时,不仅应向主管部门及时、主动上报真实情况,也需要成立专项调查小组,以便立即采取补救措施,迅速调查事件的起因、经过与结果,并调查确定相关责任人员以追究责任。

 

(三)企业如何委托处理、向其他个人信息处理者提供员工个人信息

 

1. 委托处理员工信息

 

当出现劳务派遣、劳务外包、薪酬外包、背景调查外包等情形时,企业可能涉及将员工个人信息传输给第三方机构委托其处理的情形。例如,在使用指纹/人脸门禁等内部考勤系统或疫情期间的打卡系统时,企业可能会采购第三方软件服务提供商的产品和/或服务,包括在公司所采购的产品和服务的范围内由该供应商负责日常处理包括敏感个人信息在内的员工个人信息以确保系统和服务的正常运行。

 

在此类委托处理的情形下,企业应当确保与受托方的合作协议中明确该供应商作为受托方的角色和义务,以及委托其处理的目的、期限、处理方式、所涉员工个人信息的种类、保护措施等内容,并确保企业有权对该受托方就合同的履行情况进行审计,有效监督管理受托方对员工个人信息处理活动的合规情况。此外,如果涉及如行踪轨迹、人脸识别信息等敏感个人信息,企业还应当注意通过如合同约定的方式要求受托方落实充分有效的加密存储、分类分级管理、对大量接触个人敏感信息的人员进行背景审查等安全保障措施,以保护员工个人信息的安全。

 

2. 向其他个人信息处理者提供员工个人信息

 

除因法定义务要求企业必须向政府机关等部门提供员工个人信息的情况以外,如向商业保险服务提供商提供为员工购买高端医疗保险的个人信息、出于集团管理需要而发生的下级公司向总部提供员工个人信息、关联公司之间发生的员工个人信息共享活动等场景中,企业应当注意两个方面:规划设计与接收方的合同内容,以及征得员工的单独同意。前者与委托处理的场景相似,企业应当确保在与接收方的合同中明确规定员工个人信息的处理目的、处理方式、所涉员工个人信息种类等内容。后者则可以由企业通过起草员工隐私政策、要求员工签署相关个人信息保护告知同意函等文件方式予以实现,以确保能够向员工依法披露接收方的名称或者姓名、联系方式、处理目的、处理方式和员工个人信息的种类,并征得员工的单独同意。当然,告知同意函既可以采用纸质文件的形式,也可以采用电子签章或者OA系统跳出勾选框等方式进行。

 

3.  个人信息保护影响评估

 

值得注意的是,无论是企业委托处理员工个人信息,还是向其他个人信息处理者提供员工个人信息,企业均应当事前进行个人信息保护影响评估。

 

个人信息保护影响评估能够评价相关个人信息的处理是否符合“必要原则”,也是个人信息处理者在特定场景下处理个人信息时必须履行的法定义务。《个保法》明确规定,在(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息;(四)向他人提供个人信息;(五)公开个人信息;(六)向境外提供个人信息;以及(七)开展其他对个人权益有重大影响的个人信息处理活动之前,企业应开展个人信息保护影响评估。评估内容应当包括:(1)处理目的、处理方式是否合法、正当、必要;(2)对个人权益的影响及风险程度;以及(3)所采取的安全保护措施是否合法、有效并与风险程度相适应这三方面。同时,个人信息保护影响评估报告和处理记录应当至少保存三年。

 

在个人信息保护评估的落地方面,企业可以参考该机制相配套的国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020),该国家标准已于2021年6月1日施行,对个人信息处理者开展评估活动提供了更多细则,并列出了合规示例和高风险场景下评估个人信息处理活动的示例。在开展员工个人信息保护影响评估工作时,可以参考该标准落实个人信息保护评估评估实施流程和方法,例如制定员工个人信息保护影响评估计划、盘点涉及员工个人信息处理活动的所有场景、梳理相关系统与数据流转链路情况、以及分类梳理不同场景下的处理的员工个人信息字段等。

 

(四)企业如何跨境传输员工个人信息

 

跨国企业由于集团有统一管理员工的需求和特点,无法避免地存在跨境传输员工个人信息的情况,在此,企业应该重点关注三个方面:是否开展了自评估、是否具备了《个保法》下的跨境传输前提条件,以及是否征得了员工的单独同意。

 

1. 开展相关自评估工作

 

企业在跨境传输员工个人信息前应当开展的自评估包括两类:一是个人信息保护影响评估,由于前文已经进行了讨论,此处将不再赘述;二是数据出境风险自评估。

 

个人信息保护影响评估则主要聚焦于对个人信息处理活动的评估—该处理活动对个人信息主体的合法权益带来何种影响及相应的安全风险;而数据出境风险自评估则侧重于考虑数据(不限于个人信息一类)是否符合安全可控出境的标准,以及是否可能对国家安全、公共利益、个人或者组织合法权益带来已有或者潜在的风险。具体而言,根据2022年9月1日起实施的《数据出境安全评估办法》第5条,如企业属于须申报数据出境安全评估(如符合本节第(2)项中所列的情况)范围,则应事先开展数据出境风险自评估,应重点评估以下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;以及(六)其他可能影响数据出境安全的事项。

 

同时,数据出境风险自评估报告作为申报数据出境安全评估时必须提交的材料之一,故从合规的角度来看,建议企业早做准备以避免不必要的风险。

 

2. 确保具备跨境传输个人信息的法定前提条件

 

根据《个保法》第38条,企业跨境提供员工个人信息应当确保具备以下条件之一:(一)通过国家网信部门组织的安全评估(详情可参阅:《数据出境合规指引之二——依规开展数据出境安全评估》);(二)按照国家网信部门的规定经专业机构进行个人信息保护认证(详情可参阅《个人信息出境合规指引之三——<网络安全标准实践指南 个人信息跨境处理活动安全认证规范>》);(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务(详情可参阅:《个人信息出境合规指引之一——签署“中国版”个人信息出境标准合同》);或(四)满足法律、行政法规或者国家网信部门规定的其他条件。

 

虽然单就《个保法》来看,企业可以在三类保护性措施中“任意”选择[2],但其实在选择顺序上需要先评估是否符合申报出境安全评估,不适用时才能考虑适用出境标准合同的机制—结合近期主管机构发布的文件来看,企业需要提出申请“(一)通过国家网信部门组织的安全评估”的条件已经明确,即符合《数据出境安全评估办法》第4条提出的情形:(1)向境外提供重要数据;(2)关键信息基础设施运营者;(3)处理100万人以上个人信息;(4)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息;或(5)国家网信部门规定的其他需要申报数据出境安全评估的情形的。换言之,符合前述四种情形时,企业向境外传输员工个人信息的,只能通过所在地省级网信部门向国家网信部门申报数据出境安全评估,无法采用订立标准合同的方式作为个人信息跨境传输的保护措施。总体来看,如果符合出境安全评估条件的,应当申请安全评估,但同时也可再申请个人信息保护认证(通常为对自身合规要求基准高且内部预算比较充足的企业),认证为可选项、加分项,安全评估为必须项;如果不符合出境安全评估条件的,则可以(1)签署出境标准合同并申请出境安全认证(通常亦属于对自身合规要求基准高的企业);或者(2)只选择申请出境安全认证( 标准合同与安全认证二选一)。

 

此外,对于有规定明确要求承担数据本地化义务的数据处理者,在同时触发安全评估申报义务的场景下,还应当注意协调数据本地化与数据出境安全评估申报工作。以关键信息基础设施运营者为例,原则上其应当将在境内收集和产生的个人信息存储在境内,当其确实存在涉及跨境传输员工个人信息时,考虑到数据出境安全评估申报后也可能存在不予通过的风险,所以从风险规避的角度可以考虑在申报安全评估的同时进行本地化整改,避免发生申报未能通过后仍进行跨境传输员工个人信息而受到行政处罚的风险。

 

在“(三)按照国家网信部门制定的标准合同与境外接收方订立合同”方面,现阶段企业可以参考国家互联网信息办公室于2022年6月30日公布的《个人信息出境标准合同规定(征求意见稿)》规划与境外接收方签署的合同内容,同时保持关注此类文件或监管政策的动态。

 

值得注意的是,若境内个人信息处理者如前述需要“通过国家网信部门组织的安全评估”后方可跨境传输员工个人信息的,那么根据《数据出境安全评估办法》的规定,则应当事先在与境外接收方订立的法律文件中对接收方将出境数据再转移给其他组织、个人的约束性要求作出明确约定。而企业在起草该等与境外接收方拟订立的相关法律文件(如“数据跨境传输协议”)时,一方面可参考《个人信息出境标准合同规定(征求意见稿)》中“个人信息出境标准合同”模板,另一方面也应当参考《数据出境安全评估办法》补充相关重点内容。

 

就“(二)按照国家网信部门的规定经专业机构进行个人信息保护认证”而言,该认证原则上为自愿委托进行,2022年11月4日,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证并发布了《个人信息保护认证实施规则》,规定了对个人信息处理者开展包括个人信息跨境在内等处理活动进行认证的基本原则和要求,明确提出开展跨境处理活动的个人信息处理者还应当符合此前发布的且被列为认证依据之一的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)的要求[3]。结合目前发布的认证规则与指南等文件,针对个人信息跨境处理活动进行的个人信息保护认证的基本要求和程序流程已经基本明确,故建议企业在涉及员工个人信息跨境处理活动时参考落地,详情也可参见《数据合规领域认证制度观察(上):察今以知古——我国数据合规认证制度的形成与发展》

 

3. 征得员工的单独同意

 

除具备前述前提条件以外,企业还应向员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得员工就其个人信息跨境传输行为的单独同意。实践上企业可以考虑通过结合公司实际情况及需求,不仅限于完善已有的劳动合同和员工手册,同时也应设计如个人信息跨境声明与授权同意书等单独文件,以类似方式征得员工单独同意,做到内部有章可循。

 

二、结语

 

企业员工个人信息保护是实现企业数据隐私合规治理中的一个不可或缺的环节。处理员工个人信息的场景丰富多元,部分细节在实践中(尤其在当前疫情背景下)可能被企业忽视。企业可以参考以下几个方面通过制作合规义务清单的方式,按照员工进入企业流程的相关步骤,或对照员工个人信息全生命周期各环节的操作指引,针对合规流程中的各个节点进行梳理与分析:

 

收集方面,确保个人信息收集前具备明确的合法性事由(如是为人力资源管理所必需、或是为订立合同所必需等),通过隐私政策或员工个人信息保护声明等详细披露员工个人信息的处理情况,并在员工手册中增加员工个人信息保护的章节。此外,在某些需要征得员工授权同意的场景中,企业也应做到在依法、合规征得员工同意,不得强迫员工提供其个人信息,或以解雇为由威吓员工提供。

 

使用方面,严控个人信息处理范围为劳动合同所必需的范围、实施人力资源所必需的范围或员工的授权同意范围内,与可接触、处理员工个人信息岗位的人员(比如财务人员、档案管理人员、人事部员工等)签署保密协议,做到严格限定控制访问和使用员工个人信息权限。同时,企业应明确员工个人信息保护负责人,并充分落实对员工、高层管理人员合规意识提升的教育与培训工作,加深相关岗位员工的个人信息保护理念,使其充分理解自身处理员工个人信息的义务和未按要求处理时对公司和对个人分别可能产生的后果。

 

存储方面,明确员工个人信息存储时限,确保除法律规定情形外,存储时间应最小必要,对于超出存储期限的员工个人信息应及时进行删除或匿名化处理;对于敏感个人信息甚至生物识别信息,则依法采取加密存储、分开存储等安全保障措施。

 

委托处理及向其他个人信息处理者共享员工个人信息方面,应充分调动内外部资源,建立有效的安全评估机制:确保在书面明确划分的安全责任的同时,落实对受托方或接收方实施的数据保护措施的有效监督和审计工作。此外,还应注意在向受托方或被共享方提供员工个人信息前,向员工告知该等接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并在向其他个人信息处理者共享员工个人信息前确保取得了员工的单独同意。

 

跨境传输方面,应确保依法开展个人信息保护影响评估及数据出境安全风险自评估工作,依据自身情况满足如国家网信部门组织的安全评估、或个人信息保护认证、或按照国家网信部门制定的标准合同与境外接收方订立合同的法定跨境传输前置条件,并依法合规征得员工的单独同意。企业聘用外籍员工时,由于可能会涉及到数据出境的认定问题或是否落入传输国家秘密等特殊要求,还应额外关注特定区域对于个人信息保护的专项法律规定与监管要求,确保不会触碰法律监管的“红线”;此外,考虑到外籍员工的个人信息处理活动还有可能适用其本国的法律要求,因此企业还应当同时评估外籍员工所属国当地的数据保护要求的适用性以及兼顾与个保法之间的平衡协调问题。

 

总体而言,在员工个人信息处理合规工作中,企业应完善整体合规体系与人力资源合规内控体系建设,确保各个环节的处理符合要求。即使处于疫情防控的特殊时期,企业也应严格遵守法律法规要求,确保在实施员工管理的同时,履行处理员工个人信息的合规义务、保障员工个人信息权益。从长远的角度来看,企业还应为员工设立有效的行权途径和落实员工权益的处理应对流程,充分尊重应聘者与员工作为个人信息主体享有的访问权、更正权、撤回同意权、删除权等个人信息主体权利,确保提供有效的员工投诉、举报、咨询渠道,并根据内部规章要求对违反企业合规要求的员工进行相应处罚,如此方能将《民法典》中针对员工个人信息权益保护的精神落到了实处,使员工个人信息保护被纳入整体合规战略的同时,让员工对公司更加信任,从而愿意为公司的可持续生态发展贡献员工的能力,从而形成良性的共生相伴、共同发展机制。

 

注释:

[1] 例如根据《中华人民共和国劳动合同法》第50条,用人单位应当至少保存已经解除或者终止劳动合同的文本两年。

[2] 相关具体分析可以参见《个人信息保护重点条款回顾——<个人信息保护法>实施一周年观察(下篇)》。

[3] 请注意,《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》也于2022年11月8日发布,企业应保持关注。